L’attore di minaccia sponsorizzato dallo stato russo noto come APT29 è stato collegato a una campagna avanzata di phishing che sta prendendo di mira entità diplomatiche in tutta Europa con una nuova variante di WinELoader e un Grapelader in codice caricatore di malware precedentemente non riportato.
“Mentre la variante di WinELoader migliorata è ancora un backdoor modulare utilizzato nelle fasi successive, Grapeloader è uno strumento stadio iniziale appena osservato utilizzato per l’impronta digitale, la persistenza e la consegna del payload” disse In un’analisi tecnica pubblicata all’inizio di questa settimana.
“Nonostante i diversi ruoli, entrambi condividono somiglianze nella struttura del codice, offuscamento e decrittografia delle stringhe. Grapeloader perfeziona le tecniche anti-analisi di WinELoader, introducendo metodi invisibili più avanzati.”
L’uso di WinELoader period Primo documentato di Zscaler minaccia di Minaccia nel febbraio 2024, con gli attacchi che sfruttano le esche da degustazione di vini per infettare i sistemi di personale diplomatico.
Mentre la campagna è stata attribuita per la prima volta a un cluster di attività di minaccia di nome Spikedwine, una successiva analisi di Mandiant di proprietà di Google collegato Al gruppo di hacking APT29 (aka accogliente o mezzanotte), che è affiliato al Russia International Intelligence Service (SVR).
L’ultimo set di attacchi comporta l’invio di e-mail invita a impersonare un ministero europeo degli affari esteri non specificato agli obiettivi per eventi di degustazione del vino, che li hanno convinti nel fare clic su un hyperlink che innesca lo spiegamento di Grapelader tramite un archivio con zip allacciata (“vino.zip”). Le e -mail sono state inviate dai domini Bakenhof (.) Com e Silry (.) Com.
Si cube che la campagna abbia individuato principalmente più paesi europei con un’attenzione specifica sui ministeri degli affari esteri, nonché le ambasciate di altri paesi in Europa. Ci sono indicazioni che anche i diplomatici con sede in Medio Oriente potrebbero essere stati presi di mira.
L’archivio Zip contiene tre file: un DLL (“AppVisVsubSystems64.dll”) che funge da dipendenza per l’esecuzione di un legittimo Executable PowerPoint (“wine.exe”), che viene quindi sfruttato per il caricamento laterale DLL per lanciare una dll dannosa (“ppcore.dll”). Il malware a margine funziona come un caricatore (cioè Grapeloader) per far cadere il payload principale.
Il malware ottiene la persistenza modificando il registro di Home windows per garantire che l’eseguibile “wine.exe” venga lanciato ogni volta che il sistema viene riavviato.
Grapeloader, oltre a incorporare tecniche anti-analisi come l’offuscamento delle stringhe e la risoluzione dell’API di runtime, è progettato per raccogliere informazioni di base sull’host infetto ed esfiltrarlo su un server esterno per recuperare il codice shell in fase successivo.
Sebbene la natura esatta del payload non sia chiara, Examine Level ha affermato di aver identificato gli artefatti WinELAARDER aggiornati caricati sulla piattaforma virust –
“Con queste informazioni e il fatto che Grapeloader abbia sostituito Rootsaw, un downloader HTA utilizzato nelle campagne precedenti per consegnare WinELoader, riteniamo che Grapeloader porti alla superb allo spiegamento di WinELoader”, ha affermato la società di cybersecurity.
I risultati arrivano come Harfanglab dettagliato Malware PTEROLNK VBScript di Gamareton, che viene utilizzato dall’attore delle minacce russe per infettare tutte le unità USB connesse con VBScript o PowerShell versioni del programma dannoso. I campioni di pterolnk furono caricati in virusttale tra dicembre 2024 e febbraio 2025 dall’Ucraina, un obiettivo primario del gruppo di hacking.
“Entrambi gli strumenti, se distribuiti su un sistema, tentano ripetutamente di rilevare unità USB connesse, al superb di abbandonare i file LNK e in alcuni casi anche una copia di pterolnk su di essi”, ESET notato Nel settembre 2024. “Fare clic su una lattina di un file LNK, a seconda della particolare versione Pterolnk che l’ha creata, recupera direttamente la fase successiva da un server C2 o eseguire una copia PTEROLNK per scaricare ulteriori payload.”
La società di sicurezza informatica francese ha descritto i file PTEROLNK VBScript come fortemente offuscati e responsabili della costruzione dinamica di un downloader e un contagocce LNK durante l’esecuzione. Mentre il downloader è programmato per eseguire ogni 3 minuti, lo script di contagocce LNK è configurato per funzionare ogni 9 minuti.
Il downloader impiega una struttura modulare a più stadi per raggiungere un server remoto e recuperare malware aggiuntivo. Il contagocce LNK, d’altra parte, si propaga attraverso unità locali e di rete, sostituendo i file .pdf, .docx e .xlsx esistenti nella radice della listing con controparti di scorciatoia ingannevoli e nascondendo i file originali. Questi collegamenti, una volta lanciati, sono invece progettati per eseguire Pterolnk.
“Gli script sono progettati per consentire la flessibilità per i loro operatori, consentendo una facile modifica di parametri come nomi di file e percorsi, meccanismi di persistenza (chiavi di registro e attività programmate) e logica di rilevamento per soluzioni di sicurezza sul sistema goal”, ha affermato Harfanglab.
Vale la pena notare che il downloader e il contatore LNK si riferiscono agli stessi due carichi utili che la squadra di Hunter di Symantec minacci, parte di Broadcom, rivelato All’inizio di questo mese come parte di una catena di attacco che distribuisce una versione aggiornata del Stealer Gammasteel –
- NTUSER.DAT.TMCONTAINER00000000000000000001.Regtrans-MS (Downloader)
- NTUSER.dat.tmcontainer00000000000000000002.regtrans-MS (contagocce LNK)
“Gamareton opera come una componente critica della strategia delle operazioni informatiche russe, in particolare nella sua guerra in corso con l’Ucraina”, ha affermato la società. “L’efficacia di Gamareton non sta nella raffinatezza tecnica ma nell’adattabilità tattica.”
“Il loro modus operandi combina campagne aggressive di spearphishing, rapido implementazione di malware personalizzato fortemente offuscato e infrastruttura C2 ridondante. Il gruppo dà la priorità all’impatto operativo sulla furtività, esemplificata indicando le loro DDR a di lunga information collegate pubblicamente collegate alle loro operazioni passate.”
